diff --git a/Instructions/Demos/Ignite_2024_Lab_452-01.md b/Instructions/Demos/Ignite_2024_Lab_452-01.md index 711c391..14d1e3d 100644 --- a/Instructions/Demos/Ignite_2024_Lab_452-01.md +++ b/Instructions/Demos/Ignite_2024_Lab_452-01.md @@ -4,24 +4,10 @@ lab: module: Guided Project - Create and configure a Microsoft Sentinel workspace --- +## Présentation de la tâche ->**Remarque** : pour suivre ce labo, vous devez disposer d’un [abonnement Azure](https://azure.microsoft.com/free/?azure-portal=true) pour lequel vous disposez d’un accès administratif. - -## Recommandations générales - -- Lors de la création d’objets, utilisez les paramètres par défaut, à moins que des exigences ne requièrent des configurations différentes. -- Ne créez, ne supprimez ou ne modifiez des objets que pour répondre aux exigences énoncées. Des modifications inutiles de l’environnement peuvent avoir un effet négatif sur votre score final. -- S’il existe plusieurs approches pour atteindre un objectif, choisissez toujours celle qui nécessite le moins d’efforts administratifs. - -Nous évaluons actuellement le niveau de sécurité existant de notre environnement d’entreprise. Nous avons besoin de votre aide pour configurer une solution SIEM (Gestion des informations et des événements de sécurité) pour identifier les cyber-attaques futures et en cours. - -## Diagramme de l'architecture - -![Diagramme avec l’espace de travail Log Analytics.](../Media/apl-5001-lab-diagrams-01.png) - -## Tâches d'apprentissage - -Vous devez déployer un espace de travail Microsoft Sentinel. La solution doit remplir les conditions suivantes : +Vous êtes analyste des opérations de sécurité et travaillez dans une entreprise qui implémente Microsoft Sentinel. Vous êtes responsable de la configuration de l’environnement Microsoft Sentinel pour répondre aux besoins de l’entreprise de réduire les coûts, de respecter les réglementations en matière de conformité et de fournir l’environnement le plus adapté aux tâches quotidiennes de votre équipe de sécurité. +Votre première tâche est de déployer Microsoft Sentinel dans un espace de travail. La solution doit remplir les conditions suivantes : - Veillez à ce que les données Sentinel soient stockées dans la région Azure USA Ouest. - Assurez-vous que tous les journaux d’activité Sentinel sont conservés pendant 180 jours. @@ -33,11 +19,14 @@ Vous devez déployer un espace de travail Microsoft Sentinel. La solution doit r Créez un espace de travail Log Analytics, y compris l’option de région. En savoir plus sur l’[intégration Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/quickstart-onboard). - 1. Dans le portail Azure, recherchez et sélectionnez `Microsoft Sentinel`. + 1. Dans le navigateur Microsoft Edge, accédez au portail Azure à l’adresse . + 1. Dans la boîte de dialogue **Se connecter** , copiez et collez le compte de messagerie du locataire pour le nom d’utilisateur administrateur fourni par votre fournisseur d’hébergement de labo, puis sélectionnez **Suivant**. + 1. Dans la boîte de dialogue **Entrer le mot de passe**, copiez et collez le mot de passe du locataire de l’administrateur fourni par votre fournisseur d’hébergement de labo, puis sélectionnez **Se connecter**. + 1. Dans la barre de recherche du Portail Azure, tapez `Microsoft Sentinel`, puis sélectionnez 1. Sélectionnez **+ Créer**. 1. Sélectionnez **Créer un espace de travail**. 1. Sélectionnez `RG2` comme groupe de ressources. - 1. Saisissez un nom valide pour l’espace de travail Log Analytics. + 1. Saisissez un nom unique pour l’espace de travail Log Analytics. 1. Sélectionnez `West US` comme la région de l’espace de travail. 1. Sélectionnez **Vérifier + créer** pour valider le nouvel espace de travail. 1. Sélectionnez **Créer** pour déployer l’espace de travail. @@ -50,24 +39,7 @@ Déployez Microsoft Sentinel dans l’espace de travail. 1. Sélectionnez l’élément `workspace` auquel vous souhaitez ajouter Sentinel (créé dans la tâche 1). 1. Sélectionnez **Ajouter**. -### Tâche 3 : Attribuer un rôle Microsoft Sentinel à un utilisateur - -Attribuer un rôle Microsoft Sentinel à une utilisation. En savoir plus sur les [rôles et autorisations pour travailler dans Microsoft Sentinel](https://learn.microsoft.com/azure/sentinel/roles). - - 1. Accédez au groupe de ressources RG2. - 1. Sélectionnez **Contrôle d’accès (IAM)** . - 1. Sélectionnez **Ajouter** et `Add role assignment`. - 1. Dans la barre de recherche, recherchez et sélectionnez le rôle `Microsoft Sentinel Contributor`. - 1. Cliquez sur **Suivant**. - 1. Sélectionnez l’option `User, group, or service principal`. - 1. Sélectionnez **+ Sélectionner les membres**. - 1. Recherchez le `Operator1` attribué dans vos instructions de labo `(operator1-XXXXXXXXX@LODSPRODMCA.onmicrosoft.com)`. - 1. Sélectionnez `user icon`. - 1. Sélectionnez **Sélectionner**. - 1. Sélectionnez « Vérifier + attribuer ». - 1. Sélectionnez « Vérifier + attribuer ». - -### Tâche 4 : Configurer la rétention des données +### Tâche 3 : configurer la rétention des données Configurez la rétention des données [En savoir plus sur la rétention des données](https://learn.microsoft.com/azure/azure-monitor/logs/data-retention-archive). @@ -78,4 +50,3 @@ Configurez la rétention des données [En savoir plus sur la rétention des donn 1. Cliquez sur **OK**. >**Remarque** : pour des exercices supplémentaires, suivez le module [Créer et gérer des espaces de travail Microsoft Sentinel](https://learn.microsoft.com/training/modules/create-manage-azure-sentinel-workspaces/). - diff --git a/Instructions/Demos/Ignite_2024_Lab_452-02.md b/Instructions/Demos/Ignite_2024_Lab_452-02.md new file mode 100644 index 0000000..b3cc5a6 --- /dev/null +++ b/Instructions/Demos/Ignite_2024_Lab_452-02.md @@ -0,0 +1,6 @@ +--- +lab: + title: "Exercice\_02\_: déployer Microsoft\_Sentinel" + module: Guided Project - Create and configure a Microsoft Sentinel workspace +--- + diff --git a/Instructions/Demos/Ignite_2024_Lab_455-01.md b/Instructions/Demos/Ignite_2024_Lab_455-01.md index 902cb03..de8a1ed 100644 --- a/Instructions/Demos/Ignite_2024_Lab_455-01.md +++ b/Instructions/Demos/Ignite_2024_Lab_455-01.md @@ -52,7 +52,6 @@ Dans cette tâche, vous allez créer un espace de travail Log Analytics à util 1. Une fois la validation de l’espace de travail réussie, sélectionnez **Créer**. Patientez quelques minutes pendant la configuration du nouvel espace de travail. - ### Tâche 3 : activer Microsoft Defender pour le cloud Dans cette tâche, vous allez activer et configurer Microsoft Defender pour le cloud. @@ -81,71 +80,7 @@ Dans cette tâche, vous allez activer et configurer Microsoft Defender pour le 1. Fermez la page des plans Defender en sélectionnant le bouton « X » en haut à droite de la page pour revenir aux **Paramètres de l’environnement** - -### Tâche 4 : installer Azure Arc sur un serveur local - -Dans cette tâche, vous allez installer Azure Arc sur un serveur local pour faciliter l’intégration. - ->**Important :** les étapes suivantes sont effectuées sur une machine différente de celle que vous utilisiez précédemment. Recherchez les références de nom de machine virtuelle. - -1. Connectez-vous à la machine virtuelle **WINServer** en tant qu'Administrateur avec le mot de passe suivant : **Passw0rd!** si nécessaire. - -1. Ouvrez le navigateur Microsoft Edge et accédez au Portail Azure à l’adresse . - -1. Dans la boîte de dialogue **Connexion**, copiez et collez le compte de **messagerie du locataire** fourni par l’hébergeur du labo, puis sélectionnez **Suivant**. - -1. Dans la boîte de dialogue **Entrer le mot de passe**, copiez et collez le **mot de passe du locataire** fourni par l’hébergeur du labo, puis sélectionnez **Connexion**. - -1. Dans la barre de recherche du Portail Azure, tapez *Arc*, puis sélectionnez **Azure Arc**. - -1. Dans le volet de navigation sous **Ressources Azure Arc**, sélectionnez **Machines** - -1. Sélectionnez **+ Ajouter/Créer**, puis **Ajouter une machine**. - -1. Dans la section « Ajouter un serveur unique », sélectionnez **Générer un script**. - - - -1. Dans la page *Ajouter un serveur avec Azure Arc* , sélectionnez le groupe de ressources que vous avez créé précédemment sous *Détails du projet*. **Conseil :***RG-Defender* - - >**Remarque :** si vous n’avez pas encore créé de groupe de ressources, ouvrez un autre onglet, créez le groupe de ressources et recommencez. - -1. Pour la *Région*, sélectionnez **USA Est** dans la liste déroulante. - -1. Passez en revue les *Détails du serveur* et les options de la *méthode de connectivité*. Conservez les valeurs par défaut et sélectionnez **Suivant** pour accéder à l’onglet Balises. - -1. Passez en revue les balises disponibles par défaut. Sélectionnez **Suivant** pour accéder à l’onglet Télécharger et exécuter le script. - -1. Faites défiler la page et sélectionnez le bouton **Télécharger**. **Conseil :** si votre navigateur bloque le téléchargement, prenez des mesures dans le navigateur pour l’autoriser. Dans le navigateur Microsoft Edge, sélectionnez le bouton de points de suspension (...) si nécessaire, puis **Conserver**. - -1. Cliquez avec le bouton droit sur Démarrer Windows et sélectionnez **Windows PowerShell (admin)**. - -1. Entrez *Administrator* pour le nom d’utilisateur et *Passw0rd!*. pour le « Mot de passe » si une invite UAC apparaît. - -1. Entrez : cd C:\Users\Administrator\Downloads - - >**Important :** si ce répertoire n’existe pas, cela signifie probablement que vous n’êtes pas le bon ordinateur. Revenez au début de la tâche 4 et connectez-vous à nouveau à la machine virtuelle WINServer. - -1. Tapez *Set-ExecutionPolicy -ExecutionPolicy Unrestricted* et appuyez sur Entrée. - -1. Entrez **A** pour Oui pour tout, puis appuyez sur Entrée. - -1. Tapez *.\OnboardingScript.ps1* et appuyez sur Entrée. - - >**Important :** si vous obtenez l’erreur *« Le terme .\OnboardingScript.ps1 n’est pas reconnu... »*, vérifiez que vous effectuez les étapes de la tâche 4 dans la machine virtuelle WINServer. Il se peut également que le nom du fichier ait changé à la suite de plusieurs téléchargements. Recherchez *« .\OnboardingScript (1).ps1 »* ou d’autres numéros de fichier dans le répertoire actif. - -1. Entrez **R** pour exécuter une seule fois et appuyez sur Entrée (cela peut prendre quelques minutes). - -1. Le processus d’installation ouvre un nouvel onglet dans le navigateur Microsoft Edge pour authentifier l’agent Azure Arc. Sélectionnez votre compte d’administrateur, attendez que le message « Authentification terminée » s’affiche, puis revenez à la fenêtre Windows PowerShell. - -1. Une fois l’installation terminée, revenez à la page Portail Azure où vous avez téléchargé le script, puis sélectionnez **Fermer**. Fermez **Ajouter des serveurs avec Azure Arc** pour revenir à la page **Machines** Azure Arc. - -1. Sélectionnez **Actualiser** jusqu’à ce que le nom du serveur WINServer s’affiche et que l’état soit *Connecté*. - - >**Remarque** : cela peut prendre quelques minutes. - - -### Tâche 5 : protéger un serveur local +### Tâche 4 : protéger une machine virtuelle Azure Dans cette tâche, vous allez installer manuellement l’*agent Azure Monitor* en ajoutant une *règle de collecte de données (DCR)* sur la machine virtuelle **WINServer**. diff --git a/Instructions/Demos/Ignite_2024_Lab_455-02.md b/Instructions/Demos/Ignite_2024_Lab_455-02.md new file mode 100644 index 0000000..2b4c7b0 --- /dev/null +++ b/Instructions/Demos/Ignite_2024_Lab_455-02.md @@ -0,0 +1,109 @@ +--- +lab: + title: "Exercice\_2\_: atténuer les menaces avec Microsoft\_Defender\_pour\_le\_cloud" + module: Mitigate threats using Microsoft Defender for Cloud +--- + +## Scénario de labo + +Vous êtes analyste des opérations de sécurité dans une entreprise qui a implémenté Microsoft Defender pour le cloud. Vous devez examiner les recommandations et les alertes de sécurité générées par Microsoft Defender pour le cloud. + +### Tâche 1 : explorer la conformité réglementaire + +Dans cette tâche, vous passez en revue la configuration de conformité réglementaire dans Microsoft Defender pour le cloud. + +>**Important :** les étapes suivantes sont effectuées sur une machine différente de celle que vous utilisiez précédemment. Recherchez les références de nom de machine virtuelle. + +1. Connectez-vous à la machine virtuelle **WIN1** en tant qu'Admin avec le mot de passe suivant : **Pa55w.rd**. + +1. Dans le navigateur Microsoft Edge, accédez au Portail Azure à l’adresse . + +1. Dans la boîte de dialogue **Connexion**, copiez et collez le compte de **messagerie du locataire** fourni par l’hébergeur du labo, puis sélectionnez **Suivant**. + +1. Dans la boîte de dialogue **Entrer le mot de passe**, copiez et collez le **mot de passe du locataire** fourni par l’hébergeur du labo, puis sélectionnez **Connexion**. + +1. Dans la barre de recherche du Portail Azure, tapez *Defender*, puis sélectionnez **Microsoft Defender pour le cloud**. + +1. Dans *Sécurité du cloud*, sélectionnez **Conformité réglementaire** parmi les éléments du menu de gauche. + +1. Sélectionnez **Gérer les normes de conformité** sur la barre d’outils. + +1. Sélectionnez votre abonnement. + + >**Conseil :** Sélectionnez **Tout développer** pour trouver votre abonnement si vous avez une hiérarchie Groupes d’administration. + +1. Sous *Paramètres*, sélectionnez **Stratégie de sécurité** dans le menu du portail. + +1. Défilez vers le bas et passez en revue les « Normes de sécurité » à votre disposition par défaut. + +1. Utilisez la zone de recherche pour rechercher la norme *ISO 27001:2013*. + +1. Sélectionnez et déplacez le curseur **État** vers la droite de *ISO 27001:2013* vers **Activé**. + + >**Remarque :** Certaines normes vous obligent à attribuer une initiative Azure Policy. + +1. Sélectionnez **Actualiser** dans le menu de la page pour confirmer que *ISO 27001:2013* est définie sur *Activé* pour votre abonnement. + +1. Fermez la page des *Stratégies de sécurité* en sélectionnant le « X » en haut à droite de la page pour revenir aux **Paramètres d’environnement**. + + >**Remarque :** revenez ultérieurement à la *Conformité réglementaire* pour passer en revue les nouveaux contrôles et recommandations standard. + +### Tâche 2 : explorer la posture de sécurité et les recommandations + +Dans cette tâche, vous passez en revue la gestion de la posture de sécurité cloud. Le calcul des informations relatives au Niveau de sécurité peut prendre 24 heures. Il est recommandé d’effectuer à nouveau cette tâche dans 24 heures. + +1. Dans *Sécurité du cloud*, sélectionnez **Posture de sécurité** parmi les éléments du menu de gauche. + +1. Le *Score de sécurité* est défini par défaut sur l’*Environnement Azure*. + +1. Sous l’onglet *Environnement*, sélectionnez le lien **Afficher les recommandations >**. + +1. Sélectionnez **Ajouter un filtre**, puis **Type de ressource**. + +1. Cochez la case **Machines - Azure Arc**, puis sélectionnez le bouton **Appliquer**. + + >**Remarque :** Si vous ne voyez pas **Machines - Azure Arc**, vérifiez que vous avez terminé le Parcours d’apprentissage 3 - Labo 1 - Exercice 1 Tâche 4. + +1. Sélectionnez une recommandation où l’état n’est pas *« Terminé »*. + +1. Passez en revue la recommandation et, dans l’onglet **Prendre des mesures**, défilez vers le bas jusqu’à **Délégué**, puis sélectionnez **Attribuer un propriétaire et définir la date d’échéance**. + +1. Dans la fenêtre **Créer une affectation**, conservez la définition du *Type* sur *Defender pour le cloud* et développez les **Détails d’affectation**. + +1. Dans la zone *Adresse e-mail* `Set owner`, tapez votre e-mail d’administrateur. **Conseil :** copiez l’adresse e-mail à partir des instructions de l’onglet *Ressources*. + +1. Explorez les options *Définir la période de correction* et *Définir les notifications par e-mail*, puis sélectionnez **Créer**. + + >**Remarque :** si le message d’erreur suivant s’affiche *Échec de la création des attributions demandées*, réessayez plus tard. + +1. Fermez la page des recommandations en cliquant sur le bouton X en haut à droite de la fenêtre. + + +### Tâche 3 : atténuer les alertes de sécurité + +Dans cette tâche, vous chargez des exemples d’alertes de sécurité et passez en revue les détails des alertes. + + +1. Dans le portail du menu, sous *Général*, sélectionnez **Alertes de sécurité**. + +1. Dans la barre de commandes, sélectionnez **Exemples d’alertes**. **Conseil :** Vous devrez peut-être sélectionner le bouton de points de suspension (...) dans la barre de commandes. + +1. Dans le volet Créer des exemples d’alertes (préversion), vérifiez que votre abonnement est sélectionné et que tous les exemples d’alertes sont sélectionnés dans la zone *Plans Defender pour le cloud*. + +1. Sélectionnez **Créer des exemples d’alertes**. + + >**Remarque :** cet exemple de processus de création d’alerte peut prendre quelques minutes, attendez la notification *« Exemples d’alertes créés avec succès ».* + +1. Une fois l’opération terminée, sélectionnez **Actualiser** (si nécessaire) pour voir les alertes sous la zone *Alertes de sécurité*. + +1. Choisissez une alerte intéressante avec un *Niveau de gravité* *Élevé* et effectuez les actions suivantes : + + - Cochez la case de l’alerte pour faire apparaître le volet des détails la concernant. Sélectionnez **Afficher les détails complets**. + + - Vérifiez et consultez l’onglet *Détails de l’alerte*. + + - Sélectionnez l’onglet **Agir** ou faites défiler vers le bas et sélectionnez le bouton **Suivant : Agir** à la fin de la page. + + - Passez en revue les informations *Entreprendre une action*. Notez que les sections disponibles pour entreprendre des actions dépendent du type d’alerte : inspecter le contexte de ressource, atténuer la menace, empêcher les futures attaques, déclencher une réponse automatique et supprimer des alertes similaires. + +## Vous avez terminé le labo. \ No newline at end of file